Sophos waarschuwt voor aanvalscode die zich in geheugen verstopt

18-03-2021 | door: Wouter Hoeffnagel

Sophos waarschuwt voor aanvalscode die zich in geheugen verstopt

Het geheugengebied van een gehackte computer is een populaire schuilplaats voor malware, omdat security scanners dit gebied minder goed controleren om systeemprestaties hoog te houden. Als gevolg hiervan is de kans kleiner dat de malware wordt opgespoord en geblokkeerd. Om het geheugen te bereiken volstaat veelal een klein laadprogramma dat universeel lijkt. Vooral remote access agents worden op deze manier in het geheugen geladen. Deze ‘agenten’ faciliteren de rest van de aanval; hoe eerder ze worden opgemerkt en geblokkeerd, hoe beter.

De aanval is ontdekt door onderzoekers van Sophos. De onderzoekers hebben een manier bedacht om het geheugen tegen dergelijke malware te verdedigen. Ze ontdekten dat dergelijke aanvalscode hetzelfde gedrag in het geheugen vertoont, ongeacht het type code of het doel ervan.

In de 'Heap' injecteren

In tegenstelling tot normale softwaretoepassingen die in het geheugen zijn geladen, wordt aanvalscode in de ‘Heap’ geïnjecteerd, extra geheugenruimte voor applicaties die die om extra ruimte vragen (bijvoorbeeld om code op te slaan of uit te pakken); Aanvallers voegen hun aanvalscode stapsgewijs toe. Om te beginnen wordt een klein bestand - dat bekend staat als een ‘loader’ of ‘stager’ - in het Heap-geheugen geïnjecteerd. Hierna heeft deze ‘stager’ extra Heap-geheugenruimte nodig om plek te reserveren voor de hoofdlading, wat een remote access agent (zoals Cobalt Strike) zou kunnen zijn. Dit extra geheugen heeft ‘uitvoeringsrechten’ nodig zodat deze agent kan worden uitgevoerd.

Sophos-onderzoekers hebben met Dynamic Shellcode Protection een bescherming ontworpen die de allocatie en toewijzing van uitvoeringsrechten van het ene Heap-geheugen naar het andere blokkeert.

'Voorkomen dat aanvallers vrij spel krijgen'

"Het voorkomen dat aanvallers vrij spel op het netwerk krijgen is de hoofdtaak van verdedigers", zegt Mark Loman, Director of Engineering van Sophos. “Dit is van cruciaal belang, want zodra een remote access agent is geïnstalleerd, faciliteert deze alle acties van criminelen en spionnen, zoals het stelen van inloggegevens, verhogen van privileges, data exfiltratie en het uitrollen van ransomware.”

“Kwaadaardige code weet dankzij compressie en obfuscatie vaak langs verschillende beveiligingsoplossingen te glippen, ook omdat het computergeheugen niet routinematig wordt gecontroleerd. Sophos heeft een kenmerk geïdentificeerd - ‘Heap-Heap’ geheugentoewijzing, wat kenmerkend is voor het afleveren van remote access agents en het uitpakken van meerlaags gecomprimeerde code. Hiertegen hebben we een unieke bescherming gebouwd."

Dynamic Shellcode Protection

De Dynamic Shellcode Protection zet een harde limiet op welk geheugen een programma kan toewijzen. Deze beschermingslimiet is op elk programma van toepassing, zelfs de processen van Windows zelf – processen waar aanvallers zich graag in willen verstoppen.

“De vrijheid om geheugen te gebruiken wanneer een programma dat wil, is een fundamentele functie van een computer sinds de uitvinding van dynamisch random-access geheugen in 1968. En dankzij de scheiding van gegevens en code, afgedwongen door elke CPU-hardware, kunnen wij nu letterlijk ‘genoeg!’ zeggen. Dat Sophos de volledige vrijheid inperkt klinkt brutaal maar het meest interessante hieraan is dat de bescherming eigenlijk geen probleem is voor legitieme software.”

Dynamic Shellcode Protection is geïntegreerd in Sophos Intercept X. Het heeft al een impact en onthulde de aanwezigheid in het geheugen van Cobalt Strike in een Conti-ransomware-aanval.

Advies

Advies voor verdediging tegen ransomware:

  • Sluit Remote Desktop Protocol (RDP) af om cybercriminelen de toegang tot netwerken te ontzeggen
  • Als u toegang tot RDP nodig heeft, plaats deze dan achter een Virtual Private Network
  • Gebruik gelaagde beveiliging om cyberaanvallen te voorkomen, te beschermen en te detecteren, inclusief Endpoint Detection and Response-mogelijkheden en beheerde responsteams die 24/7 netwerken bekijken
  • Let op de vijf vroege indicatoren dat een aanvaller ransomwareaanvallen wil stoppen
  • Zorg voor een effectief responsplan en werk dit indien nodig bij
Terug naar nieuws overzicht

Tags

Security
Security